关于企业信息系统统一身份授权管理探索实践.docVIP

关于企业信息系统统一身份授权管理探索实践 　　摘 要 目前很多大型企业实施了统一身份与认证管理，但在操作运行中发现实际效果达不到预期成效。究其原因，或出于配套制度的跟进不到位，或技术功能实现无法满足管理需求，或建设实施路线发生偏差。笔者结合多年从事大型企业的身份授权相关信息化项目，从信息化建设管理者的视角对如何统筹建设企业的身份授权管理工作提出理解和看法。 关键词 身份授权；应用安全；权限管理 中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0154-02 做好企业的身份授权工作，不仅需要技术手段和软件平台支撑，还需要在管理层面上的运作。对于身份授权管理的实践中我们主要采取了三个层面的抓手，从业务管理层面需要建立一个机构和一套制度，在技术管理层面主要抓支撑业务管理层面的核心功能以及落实一套相应的开发与集成标准，最后还需要有适当的建设实施策略。 1 机构与制度 1.1 成立一个处理身份授权工作的专属机构 不同类型的大型企业的组织机构不尽相同，但在信息化部门的组织体系上大同小异，应当在企业信息运维机构下设立一个专职的身份授权机构，这里姑且把它叫做“信息权限中心”。目前大多数大型企业缺少这样一个专职机构，系统身份权限的运维模式还是以系统甚至项目为单位的，项目组频繁换人重新培训、账号挪用无人监控回收，这些都是存在于信息部门的问题和风险，身份授权工作亟需一个常态化的相对稳定团队来组织运转。如果把我们的信息系统资源比作是一栋大楼，“信息权限中心”的作用就像是这座大楼的前台传达室，协助处理什么人要去什么地方，要用到什么东西做什么事。 “信息权限中心”的应具备两块职能和业务，第一块是对企业信息系统用户的身份授权的服务职能，主要承担的是身份信息维护、对用户进行权限分配等执行层工作。而对哪些人具体可以用哪些信息网络资源（比如某个系统的某几个功能），信息部门不具备完全审核的职能，这应由该资源的归口管理部门承担。对其身份信息的维护和对用户权限的分配，这项工作仅需和普通用户交互，普通员工经过简单培训操作，按照既定工作或者叫做操作制度即可上岗作业。但需注意在人员配置上，身份信息管理和权限分配管理本身是两个不相容岗位，应当分开设置。第二块是对于系统厂商的管理职能，信息部门应当审核系统厂商在系统中做了哪些功能，这些功能到底设计来给谁用，掌握这些数据一方面可以促进权限安全管理、功能共享融合，另一方面也可以为信息化投资提供辅助决策依据。负责业务主要为权限定义和资源管理工作，这需要与系统研发厂商和实施厂商交互，要求员工最好具有一定信息系统开发经验，经过集成开发标准制度和系统操作培训即可上岗作业。 1.2 建立配套身份和权限管理制度 在建立身份授权配套管理制度时，应把握业务管理和技术管理两个大方向，除了上诉提到的“信息权限中心”的机构及其职能以外，本章主要对业务管理层面的管理制度的核心要素进行阐述。 1）规范企业的身份信息管理。不同的企业或者部门由于业务的不同，在使用信息系统的人员构成上有很大的差异，规范身份信息管理的核心要素在于账号的划分、命名规范、回收机制。 根据作者的经验，认为比较合理的账号划分方式是将企业中使一用到信息系统的账号分为临时账号和员工账号，员工账号信息可以与企业的人资系统集成获取基本员工信息，除去员工账号以外均作临时账号处理，这里面可能涵盖一些企业自身的外协人员、合作伙伴的管理制度。 区分员工账号和临时账号的唯一边界是账号是否受人力资源部门管理，具体到信息系统层面上即有没有纳入到人力资源系统管理，这样做主要是出于安全目的而不存在用工歧视的问题，因为人力资源部门对身份信息有一次可信核查，反之则需要信息部门来加强这部分账号使用人的身份信息核查。从账号命名规范上也应该在全公司统一，如果公司已有工号则建议使用工号，如果没有工号建议按照8位流水号的形式排列即可。 账号的全生命周期管理包含开通、使用和回收，账号的开通应由申请使用人相应单位的指定员工提出，以缩减业务部门的审核周期。账号的回收在此是最易忽略却也是最关键的安全环节，员工账号的回收以员工离职作为回收点，临时账号以使用期限到期后自动回收作为触发点，再次使用可以办理续期手续，临时账号单次申请的最长使用期限为一年。 2）规范企业的权限管理。企业权限管理的难点在于现实中的岗位与系统中的权限不是一一匹配的，难以完全采用业务的语言去描述信息系统中的权限。例如，物资部的小李和小张担任公司采购工作，如果让两人去跟“权限信息中心”的权限管理员口头（或书面表达）的方式去申请权限，这样的处理是带着一些随意性、不规范的。 这就需要我们在管理上有标准和制度，权限如何梳理？由谁来做？我们认为任何一个功